前言
对于网络攻防演习的解读,可以有多种不同的技术能力视角。
比如红队技术能力视角,聚焦于攻击生命周期和各种技战术的不断变化和创新;或是蓝队技术能力视角,更聚焦防御体系建设的敏捷、弹性、自适应以及纵深防御理念,还要考虑第三方系统的融合情况,比如面临红队的供应链攻击战术;此外,还有紫队技术能力视角,聚焦攻防能力成熟度和防御策略优化等。
|
|
从总体来看,围绕防御体系的需求总是多于攻击体系的需求,因此对于蓝队有必要再进行一些更具扩展性的讨论。
一、北约的网络攻防演习
2022年4月22日,为期4天、号称全球规模最大(33个国家,2000多名参与者)、最复杂(24个成员国参与防御)的国际实弹网络防御演习“Locked Shields 2022”(锁盾2022)结束。
该演习由北约合作网络防御卓越中心 (CCDCOE) 组织,自 2010 年以来每年都会举行一次。在今年的演习中,首次包括了在网络靶场环境中模拟中央银行的储备管理和金融信息系统用于技术演习。
据悉,芬兰队获得防守第一名,其团队展示了对网络和Web类攻击的可靠防御能力,而且在态势报告方面表现出色,由此可见会写报告很重要。
|
|
本图源自网站截图:https://shape.nato.int/news-archive/2022/exercise-locked-shields-2022-concludes
*左右滑动查看更多
二、攻防演习蓝队视角和痛点
1、0day漏洞防不胜防
在规模较大和重要性较高的网络攻防演习中,对于蓝队(防守方),演习中遇到红队(攻击方)0day的机会还是相当大的。要在短时间达成演习目的,拿到目标靶机的权限,动用一些先进武器(0day)进行快速突破是最高效的,比如过去2021年的情况(以下图为例):
|
|
所出现的0day漏洞主要包括Web服务、组件的反序列化漏洞;OA系统、邮件系统、CMS等暴露在边界上的系统较多。在演习中,这类系统通常会面临主要的火力攻击。
2、社工招式花样多变
在Web硬刚比较吃力的情况下(比如蓝队加固了系统、提升了WAF等防御策略的灵敏性等),攻击队会考虑通过社工突防的方式来进行花样百变的钓鱼攻击。当然,演习一开始攻击队就会这样做,比如过去2020年的情况(以下图为例):
|
|
攻击队用于社工攻击的话术、样本往往都紧贴时节,这对防守方全员的安全意识提出了挑战,如果提前没有经过安全意识相关的培训、训练,存在中招的可能性较大,比如已公开过的钓鱼诱饵文件名(以下图为例),就对安全意识松懈的目标人员具有一定的迷惑性。
3、应急溯源大海捞针
在严防之下,依然存在被攻击成功的漏网之鱼,攻击队可能利用0day或社工钓鱼等组合方式。总之会存在防守方被拿了部分系统权限、被扣分的情况。这时候就需要应急溯源,把分给加回来。
要溯源到攻击者,对防守方的攻防对抗能力要求较高:技术上要具备漏洞和样本分析能力、威胁情报分析能力,并能快速发现且分析出利用的漏洞触发点和后门的C2真实地址和使用者、具有较完备的威胁情报库和社工库积累,能在茫茫攻击痕迹中准确锁定攻击者身份……溯源技术栈如下图所示:
|
|
能及时溯源并完成反杀,是蓝队加分不可或缺的能力。
4、小道消息真假难辨
演习期间,免不了各小道消息频发,比如听说或网传XXX被攻击成功、出局了,XXX系统又有0day了……这极容易动摇防守方的意志、导致士气受到影响,也给红队社工钓鱼带来乘乱而入的机会。要排除干扰,就需要多方情报汇总分析,并确保防御监测措施可靠。
三、攻防演习蓝队阶段和建议
说了这么多,该如何解决前文提到的蓝队痛点呢?安恒信息蓝队从过去的多场蓝队防守零失分经验中总结了多种防御建议,限于篇幅,将仅对攻防演习中蓝队的主要阶段进行简要介绍。
1、攻防演习中的备战
在攻防演习正式对抗中,有成熟的流程和技术支撑以及人员能力要求,比如威胁处理流程(以下图为例):
|
|
在正式演习开始前的备战阶段,要做到人员到位、流程顺畅,并演练到处置效率高效、报告上报及时等效果,此外,还要做好备用的B计划。
2、攻防演习中的对抗
在攻防演习正式对抗中,不仅要有成熟的流程和技术支撑,更要体现出专家团队的综合技术对抗能力,比如针对攻击生命周期的各阶段和技战术进行逐一破解,形成细粒度天网,做到万无一失的攻击压制。
|
|
这同样需要在演习正式开始前进行充分的演练和预判,确保流程、技术、人员整合,适应演习期间的对抗强度和节奏。
3、攻防演练中的收尾
当技战术打完后,演习并未真正结束,还需要对技战术进行报告及总结,从攻防演习的整体过程中回顾要点(包括但不限于技术类的技战术、非技术的组织协调等),这些统称为技战法报告。
以下图为例,要站在攻防对立的角度思考,从而全面提升对攻防演习的认知,并为进一步做好蓝队安全建设提供充足的依据。
|
|
四、攻防演练加分的服务方案
1、技术上的对抗能力
安恒信息蓝队在过去的多场蓝队防守任务中取得了优异的成绩(比如既有过证券行业防守第一名的佳绩,也有每场零失误的安保成绩)。在这些万无一失的成果背后,是安恒信息积累基于15年以上的安全服务和产品能力和蓝队解决方案。
|
|
在彩虹蓝队方向,安恒信息积累了大量经实战验证的技术和知识体系:
|
|
*内容摘自安恒信息《2021-2022安服安全技术研究白皮书》,用于服务于各行业蓝队需求的客户。
2、防御体系优化能力
同时在红、蓝、紫技战术方面,安恒信息蓝队不断从攻防对抗技术中提炼,优化防御策略,包括但不限于MITRE ATT&CK的各类细分技战术的变形测试,从而为打造细粒度的安全防御策略提供技术支撑。
|
|
对于红队细粒度的技战术运用,蓝队也都进行了对应的破解。
|
|
通过“先行一步”的细粒度技战术对抗积累,及时赋能于防御体系。
3、情报体系保障能力
基于流量、日志、用户行为的综合数据分析平台,以及接入数据中台的威胁情报能力,安恒信息蓝队能为客户提供及时的专项威胁情报。
|
|
有价值的专项情报能及时提升防御效果,并能预防式锁定攻击接触点。
安恒信息数据中台部分示例:
|
|
*解读说明
限于篇幅,本文仅从蓝队技术能力视角做了轻量级解读,并未展示完整的蓝队解决方案,此后我们也将会继续输出蓝队产品能力视角的解读,为您呈现更完整的蓝队解决方案。欢迎持续关注安恒信息安全服务。
注:本文中部分图片为安恒信息原创,版权归安恒信息所有,禁止搬运。
原文始发于微信公众号(安恒信息安全服务):网络攻防演习的蓝队技术能力视角
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论